我有许多可随时使用的网络设备,如路由器、打印服务器、L2/L3 网络交换机、ip-pbx、接入点等等。
这些设备通常通过 Web 门户访问 80 端口 (http) 进行管理。并要求输入用户名和密码才能访问。
由于需要管理的设备太多,我通常使用默认用户名和密码而不进行更改,以防将来忘记。然而,这种习惯很危险,很容易被人轻易更改配置。
有没有办法保留默认用户名/密码,但阻止其他本地网络用户更改配置?
VLAN 分段能通过将所有这些设备分组到一个 VLAN 中来提供帮助吗?但这样做似乎会阻止其他 VLAN 的工作站访问这些设备的服务。
或者防火墙 + VLAN 有帮助吗?
答案1
通过 VLAN 进行隔离可能会有效。如果您使 VLAN 可访问,即仅从交换机上的特殊端口访问。如果没有从/到“管理 VLAN”的路由,则应该只能通过您指定的一个端口访问。但它限制了您可以访问管理系统的位置。您还可以从 WiFi 接入点提供 VLAN。您还必须使用防火墙来阻止潜在的有害流量。许多设备还允许设置 IP 或 IP 范围以使用管理接口。
但是,我强烈建议不要保留默认用户名/密码。如果你很难记住,请使用安全密码并使用主密码保护它。最好另外添加 2FA(双因素身份验证)。
答案2
许多企业产品将提供企业管理功能,这些功能通常包括用 LDAP、radius 甚至 AD 形式的集中式身份验证取代本地管理帐户的选项。
然后,在初始配置之后,您可以使用正常的管理员帐户凭据登录,受益于已建立的密码强度和过期策略等,并且可以通过将加入者和离开者添加/删除到某些组来管理他们。
通过将管理接口放置在单独的管理网络段中来限制对管理接口的访问也是一种很好的做法。
对于网络打印机之类的设备来说,这似乎很困难,但您可以设置一个打印服务器来连接您的工作站可以访问的网络段和打印机网络段,以防止您的用户直接连接到打印机。
实际的网络设备(例如路由器、交换机和 WiFi AP)通常会支持 VLAN 标签,您可以将它们的管理接口绑定到与用于其他目的的 VLAN 分开的特定管理 VLAN。